Le logiciel malveillant, surnommé CopperStealer par les chercheurs de Proofpoint, est un voleur de mots de passe et de cookies. Il est développé activement avec une fonction de téléchargement qui permet à ses opérateurs de fournir des charges utiles malveillantes supplémentaires aux appareils infectés. Il cible les utilisateurs des principaux fournisseurs de services comme Google, Facebook, Amazon et Apple.
Un malware simple, mais dangereux
Les acteurs de la menace derrière ce malware ont utilisé des comptes compromis pour diffuser des publicités malveillantes et des logiciels malveillants supplémentaires dans les campagnes de publicité malveillantes subséquentes. CopperStealer ne serait pas un malware sophistiqué, mais il n’en est pas moins dangereux.
Les chercheurs de Proofpoint ont analysé un échantillon qui cible les comptes professionnels et des annonceurs Facebook et Instagram. Ils ont identifié des versions supplémentaires qui ciblent d’autres fournisseurs de services majeurs, notamment Apple, Amazon, Bing, Google, PayPal, Tumblr et Twitter.
Bien que CopperStealer ne soit pas le voleur d’informations d’identification / de compte le plus néfaste qui existe, l’impact global peut être important, même avec ses capacités de base, selon les conclusions de Proofpoint.
Mode de fonctionnement de CopperStealers
CopperStealers fonctionne en récoltant les mots de passe enregistrés dans les navigateurs web : Google Chrome, Edge, Firefox, Yandex et Opera. Il récupérera également le jeton d’accès utilisateur Facebook des victimes à l’aide de cookies volés pour collecter un contexte supplémentaire : liste d’amis, informations sur les comptes publicitaires, liste des pages Facebook auxquelles ils peuvent accéder.
Les malwares abandonnés à l’aide du module de téléchargement de CopperStealer incluent la porte dérobée modulaire Smokeloader et un large éventail d’autres charges utiles malveillantes téléchargées à partir de plusieurs URL.
Les canaux de distribution
CopperStealer est distribué via de faux sites de crack de logiciels et des plateformes de distribution de malwares connues telles que keygenninja [.] Com, piratewares [.] Com, startcrack [.] Com et crackheap [.] Net. Proofpoint a travaillé avec Cloudflare et d’autres fournisseurs de services pour configurer des interstitiels pour ces domaines afin d’avertir les visiteurs de leur nature malveillante. Cependant, les interstitiels ne sont pas apparus dans les tests de BleepingComputer.
Pour deux des sites, leur connexion à des tentatives en cours de diffusion de logiciels malveillants et de logiciels / applications potentiellement indésirables (PUP / PUA) a été découverte. Les sites ont été détruits. Au cours des 24 premières heures de fonctionnement, le gouffre a enregistré 69 992 requêtes HTTP de 5 046 adresses IP uniques provenant de 159 pays. Cela représente 4 655 infections uniques.
Des méthodes similaires à celles de SilentFade
CopperStealer montre des méthodes de ciblage et de livraison similaires avec le logiciel malveillant SilentFade. Ce dernier est aussi utilisé pour voler des cookies de navigateur et promouvoir des publicités malveillantes via des comptes Facebook compromis.
Étant donné que les logiciels malveillants de vol de compte comme celui-ci fournissent des fraudeurs derrière les attaques par usurpation d’identité et l’usurpation d’identité, les utilisateurs sont invités à activer l’authentification à deux facteurs chaque fois que possible. Cela apporte une protection supplémentaire.
- Partager l'article :